Последнее обновление: | Вся документация
Let’s Encrypt поддерживает IPv6 как для доступа к API ACME с помощью клиента ACME, так и для поиска DNS и HTTP-запросов, которые мы делаем при проверке факта владения доменными именами.
Проверка домена
При выполнении запросов проверки переноса домена для домена, у которого есть адреса как IPv4, так и IPv6 (например, и A
и AAA
записи), Let’s Encrypt для первоначального подключения всегда отдает предпочтение адресу IPv6. Если IPv6 соединение прервано на сетевом уровне (т.е. таймаут) и имеются IPv4 адреса, то мы повторим запрос уже к одному из IPv4 адресов.
Некорректные IPv6-адреса
Часто владельцы доменов не знают о записи AAAA
для своего домена. Если адрес IPv6 в записи AAAA
неверен, это повлияет на процесс проверки домена.
Обычно адрес IPv6 будет отличаться от адреса IPv4 сервера, на котором запущен ACME-клиент. Поскольку для ответа на вызов клиент ACME настраивает только сервер IPv4, проверка домена не будет выполнена при использовании сервера IPv6.
В большинстве случаев верным решением является обновление IPv6-адреса, чтобы указать на сервер, где запущен клиент ACME, или удаление AAAA
-записи, если домен не предназначен для работы с IPv6. Невозможно затребовать, чтобы Let’s Encrypt предпочитал IPv4, вам нужно исправить неправильную конфигурацию.
Подробности переключения с IPv6 на IPv4
Повторная попытка переключения с IPv6 на IPv4 происходит только при превышении времени ожидания подключения, но не при других типах ошибок.
Например, в приведенном выше сценарии “Распространенные ошибки” (Common Pitfalls) повторная попытка переключения не будет, если веб-сервер, прослушивающий адрес IPv6, есть, но он не готов ответить на вызов ACME. В этом случае таймаут соединения при доступе к IPv6-адресу не будет достигнут, и вызов не будет выполнен без повторной попытки переключения, т. к. был возвращен неверный ответ.
В целях упрощения программного обеспечения нашего ЦС, мы выполняем повторную попытку переключения с IPv6 на IPv4 только при первом запросе при проверке вызовов “http-01”. Если вы используете перенаправления, они не будут обработаны при повторных попытках.
Например, если доменное имя имеет запись AAAA
, время ожидания ответа которой всегда истекает, и запись A
веб-сервера, который перенаправляет с HTTP на HTTPS, то обратный переход с IPv6 на IPv4 будет работать неправильно. Первый запрос к домену будет корректно переключать на IPv4, получая перенаправление с HTTP на HTTPS. Последующий запрос вновь предпочтет адрес IPv6, однако при достижении таймаута уже не обратится к IPv4. Вы можете решить эту ситуацию, либо исправив неверную конфигурацию IPv6, либо удалив перенаправление с HTTP на HTTPS для запросов пути вызова ACME HTTP-01.
Нужна помощь?
Если вам нужна помощь в диагностике проблемы с IPv6, пожалуйста, посетите наш форум сообщества.